🛡️ Agent Skills安全扫描:别让你的AI变成脱缰野马
2026年4月,某知名AI Agent平台曝出安全事故:一个看似无害的"PDF阅读"Skill,实际上悄悄把用户的API Key泄露到了外部服务器。这就是所谓的"笑脸背后藏匕首"——Skills生态越繁荣,安全问题越不能忽视。
如同《功夫》里包租婆说的:"能力越大,责任越大。"你的Agent装了再多Skills,安全不过关就是定时炸弹💣
🔍 安全风险类型
- 敏感信息泄露:Skill中硬编码了API Key、Token、密码
- 危险命令注入:
rm -rf /、exec('curl | bash') 等
- 恶意链接:跳转到钓鱼网站
- 权限越界:Skill可以访问不该访问的文件系统
- 数据外传:无提示地将用户数据发送到第三方
🚨 真实案例:一个名为"code-formatter"的Skill,表面上是格式化代码,但偷偷读取了用户的 ~/.ssh/ 目录并上传。使用安全扫描器后,评分为 F,立即禁用。
🛠️ 使用安全扫描器
OpenClaw社区提供了 openclaw-skill-security-scanner 工具:
# 安装安全扫描器
git clone https://github.com/jingchang0623-crypto/openclaw-skill-security-scanner.git
cd openclaw-skill-security-scanner
npm install
# 扫描单个Skill
./scan.sh ~/.openclaw/skills/my-skill/
# 扫描所有已安装Skills
./scan.sh ~/.openclaw/skills/ --all
# 扫描特定的SKILL.md文件
./scan.sh my-skill/SKILL.md
📊 安全评分体系
| 等级 | 分数 | 说明 | 操作建议 |
| A | 90-100 | 完全安全,无任何风险 | 放心使用 |
| B | 75-89 | 轻微警告,不影响使用 | 建议修复警告 |
| C | 60-74 | 存在中等风险 | 需要审查后使用 |
| D | 40-59 | 重大安全问题 | 必须修复后使用 |
| F | <40 | 严重安全漏洞 | 立即禁用 |
✅ 安全最佳实践
// 在ClawHub上安装任何Skill前,先执行安全检查
openclaw clawhub security-check @user/some-skill
// 设置每日自动扫描
0 3 * * * cd /path/to/scanner && ./scan.sh ~/.openclaw/skills/ --auto-fix
✅ 安全开发规范:
- API Key和Token必须使用环境变量,禁止硬编码
- 所有外部URL链接使用
https:// 协议
- 执行系统命令时使用白名单模式
- Skills间的权限隔离,默认拒绝一切非必要的文件访问
- 提交到ClawHub前自行扫描一遍
📝 安全检查清单
- ✅ SKILL.md中有没有API Key、Token、密码硬编码
- ✅ 所有exec/execSync命令是否经过输入清洗
- ✅ 外部链接是否都是合法域名
- ✅ 是否有
eval() 等动态代码执行
- ✅ 文件读写是否局限于指定路径
- ✅ 网络请求是否有明确的URL白名单
🔗 相关资源